Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Datenlecks: Outsourcing macht Kreditkartenzahlung zum Risikospiel

Von

Der Kreditkartenskandal bei der Landesbank Berlin offenbart eine grundlegende Gefahr, auch für Kunden anderer Geldhäuser: Viele Institute geben sensible Daten an externe Dienstleister weiter. Datenschützer fordern Konsequenzen, sonst könnte sich die Sicherheitspanne vielfach wiederholen.

Hamburg - Der Skandal um geklaute Kreditkartendaten bei der Landesbank Berlin (LBB) wirft grundsätzliche Fragen auf. Nach Meinung führender Datenschützer haben viele Banken unverantwortlich gehandelt. Sie haben Dienstleistungen an Drittunternehmen weitergegeben, ohne den verantwortungsvollen Umgang mit sensiblen Daten sicherzustellen.

Abrechnung einer Kreditkarte der Landesbank Berlin: Betroffene Kunden per Brief benachrichtigt
DPA

Abrechnung einer Kreditkarte der Landesbank Berlin: Betroffene Kunden per Brief benachrichtigt

Paradebeispiel ist die LBB: Am Freitag meldete die "Frankfurter Rundschau" ("FR"), Zehntausende vertrauliche Daten - darunter Namen, Kontonummern, detaillierte Buchungsvorgänge und sogar Pin-Nummern - von einem anonymen Informanten erhalten zu haben. Die Angaben betreffen der Zeitung zufolge Kunden aus ganz Deutschland.

Die Kreditkartendaten befanden sich demzufolge in einem regulären Postpaket. Gespeichert waren sie auf sogenannten Mikrofiche-Filmen - bei dieser Technik werden gedruckte Vorlagen um ein Vielfaches verkleinert auf Polyesterplatten gespeichert, laut LBB ein bei Kreditkartendaten übliches Archivierungsverfahren. Die Pin-Nummern befanden sich in separaten Briefumschlägen.

Angefertigt wurden all diese Daten von der Firma Atos Worldline, der deutschen Tochter des französischen IT-Dienstleisters Atos Origin. Die LBB gab auf Anfrage von SPIEGEL ONLINE an, dass Atos Worldwide für das Institut das komplette Karten-Processing übernimmt. Dies beinhalte unter anderem die Kartenkontoführung, die Abwicklung der Kartentransaktionen sowie die Erstellung und den Versand der Pin.

Im Klartext heißt das: Wenn der Kunde beim Bezahlen seine Kreditkarte in ein Lesegerät steckt, übernimmt Atos die Abwicklung der Transaktion. Und wenn ein Kreditkartenkunde eine neue Geheimnummer zugeschickt bekommt, wird diese nicht von der LBB erstellt, sondern von Atos. Die Landesbank Berlin hat nach eigenen Angaben insgesamt etwa zwei Millionen Kreditkaten ausgegeben.

Datenschützer kritisieren Outsourcing von sensiblen Daten

Genau das aber bedeutet: Die LBB hat die Abwicklung von sensiblen Daten voll und ganz in die Hände eines externen Dienstleisters gelegt. Und sie ist bei weitem nicht die einzige Bank, die derartig heikle Dienstleistungen ausgelagert hat. Nach Angaben der "FR" übernimmt Atos unter anderem die Visa-Karten-Abwicklung der GE Money Bank.

Kreditkartenmissbrauch - So schützen Sie sich
Abrechnung kontrollieren
Kreditkartenabrechnungen sollten schnell kontrolliert werden, unlogischen Abbuchungen sofort widersprochen werden. Banken räumen in der Regel eine Frist von vier bis sechs Wochen ein. "Aber auch wenn Kunden später eine falsche Abbuchung bemerken, sollten sie in jedem Fall unverzüglich reklamieren", sagt Sylvia Beckerle, Referentin für Finanzdienstleistungen von der Verbraucherzentrale Rheinland-Pfalz.
Rechtliche Beratung
Sollte eine Auszahlung verweigert werden, kann sich der Kunde in letzter Konsequenz noch immer Rechtsbeistand holen. Die ist in der Regel über eine Rechtsschutzversicherung gedeckt. Auch Verbraucherzentralen bieten eine umfassende Rechtsberatung an.
Neues Konto
Thomas Hagen, Pressesprecher der Verbraucherzentrale Schleswig-Holstein, sieht die Chancen, sich umfassend zu schützen, relativ schlecht. "Jeder Kunde muss davon ausgehen, dass seine Daten ausgespäht werden können und unberechtigt bei ihm abgebucht werden kann", sagt er. Eine umfassende Sicherheit gebe es nicht, dazu seien schon jetzt zu viele Daten im Umlauf.

Eine sinnvolle Maßnahme, um Missbrauch mit bereits geklauten Daten zu vermeiden, sei, sich eine neue Bankverbindung nebst neuer Kreditkarte einrichten zu lassen. Diese biete allerdings nur zusätzlich Sicherheit, wenn man besonders restriktiv mit den neuen Daten umgehe. Das bedeute: keine Lastschriften, keine unseriösen Zahlungen im Internet, keine telefonische Datenweitergabe. jch
Verlorene Karte sperren
Wenn der Diebstahl oder Verlust auffällt, muss die Karte so schnell wie möglich gesperrt werden. Während der Geschäftszeiten sollte sofort die ausgebende Bank oder Sparkasse angerufen werden. Rund um die Uhr sind die kostenpflichtige zentrale Sperrnummer 01805-021021 oder die gebührenfreie Nummer 116116 zu erreichen. Das Einspeichern von Sperrnummern im Handy kann außerdem im Ernstfall hilfreich sein. Ein Diebstahl sollte zudem bei der Polizei angezeigt werden.
Der Bundesdatenschutzbeauftragte Peter Schaar kritisiert dieses Vorgehen aufs Schärfste. "Ich habe den Eindruck, dass immer mehr Arbeitsprozesse ausgelagert werden, um Kosten zu sparen, dass aber beim Auslagern keine entsprechenden Sicherheitsvorkehrungen getroffen werden, um Datenmissbrauch zu vermeiden", sagt er SPIEGEL ONLINE. "Würden die Banken die Daten, die sie rausgeben, genau kontrollieren, würden die Margen, die sie durch das Outsourcing erzielen, wieder schrumpfen", sagt Schaar. Die Folge seien mangelhafte Kontrollen der externen Dienstleister. "Und das ist unverantwortlich."

Nun allerdings hat Deutschland einen neuen Datenskandal - und die Auslagerung sensibler Dienstleistungen könnte sich für viele Banken als Bumerang erweisen. Denn in den Paragrafen neun und elf des Bundesdatenschutzgesetzes ist klar geregelt, dass stets der Auftraggeber - in diesem Fall: die Bank - für die Einhaltung der Vorschriften des Gesetzes verantwortlich bleibt.

Diese Pflicht beginnt bei der Auswahl des externen Dienstleisters, erstreckt sich über die genaue Fixierung der technischen und organisatorischen Maßnahmen, mit denen die Einhaltung der Datenschutzregeln gewährleistet wird, und sie endet bei der Kontrolle des externen Dienstleisters.

Banken im Kreuzfeuer

Die Landesbank Berlin gab auf Anfrage an, einen hohen Standard beim Umgang mit sensiblen Kundendaten zu unterhalten. Die Prozesse und Systeme zur Speicherung von Kundendaten würden regelmäßig aus datenschutzrechtlicher Sicht überprüft und unterliegen einem regelmäßigen Revisionsprozess. Man beauftrage nur externe Dienstleister, bei denen die Beachtung der datenschutzrechtlichen Vorschriften gewährleistet sei.

Ob die LBB ihrer Pflicht genüge getan hat, wollen Datenschützer nun klären. Der Berliner Datenschutzbeauftragte Alexander Dix traf sich am Montagabend erstmals mit Vertretern der LBB, um den genauen Hergang des Datenverlustes zu erläutern. Auch in Hessen erregt der Fall des in Frankfurt sitzenden Dienstleisters Atos Aufsehen. Die LBB könnte bald zum Präzedenzfall für Nachforschungen bei anderen Instituten werden.

"Wir werden genau überprüfen, wo Atos überall tätig ist", sagt Renate Hillenbrand-Beck, Dezernatsleiterin des für die Datenschutzaufsicht über die Privatwirtschaft in Hessen zuständigen Regierungspräsidiums Darmstadt. "Es stellt sich auch die Frage: Wie erfolgt der Datentransport, soweit Atos für andere Banken als Dienstleister tätig wird? Sind die Abläufe identisch mit denen betreffend der Kundendaten der Landesbank Berlin?"

LBB-Kunden können hoffen

Allein bei der LBB besteht noch erheblicher Klärungsbedarf. Laut LBB liefert Atos in regelmäßigen Abständen Mikrofiche-Filme nach Berlin. Atos schweigt bislang hartnäckig - verweist nur auf laufende Ermittlungen, die man nicht behindern wolle.

Die Frankfurter Polizei hält es inzwischen für unwahrscheinlich, dass mit den brisanten Daten Missbrauch getrieben wurde. Ein Polizeisprecher sagte. Inzwischen seien die beiden Kurierfahrer bekannt, die mit den Unterlagen des Frankfurter Abrechnungsdienstleisters Atos Worldline unterwegs waren. Sie würden vernommen.

Auch gilt es als unwahrscheinlich, dass ein Zusammenhang besteht zwischen Kreditkartenverbrechen und dem Datenpaket, das die "FR" erhalten hat. Eine Sprecherin der LBB sagte auf Anfrage, es bestehe definitiv kein Zusammenhang. Ein Polizeisprecher sagte, derzeit könne Entwarnung gegeben werden, allerdings könne man natürlich nicht völlig ausschließen, dass es zu Missbrauchsfällen gekommen sei.

Nach allem, was man bislang weiß, spricht viel dafür, dass es sich bei der Datenlieferung an die Zeitung eher um das Werk eines Alarmisten handelt, der auf eventuell unzureichende Sicherheitsvorkehrungen hinweisen wollte. Bestes Indiz dafür sind die Pin-Nummern, die in dem Datenpaket enthalten waren - die nämlich wurden nicht angerührt. "Es befand sich nur eine geringe Anzahl in dem Paket", sagt Staatsanwältin Doris Müller-Scheu. Laut LBB handelte es sich um genau acht Pin-Nummern. "Zudem waren die Dokumente allesamt noch mit einer Perforierung versiegelt", sagt Müller-Scheu.

Zumindest die Kunden der LBB können bereits jetzt aufatmen. Denn zwar gab die "FR" am Montag bekannt, Hunderte Mails erhalten zu haben, in denen Kunden vom Missbrauch ihrer Karten berichtet hätten. Bis zu 5000 Euro sollen jeweils von den Konten verschwunden sein. Und für den Fall, dass wider Erwarten doch Kundendaten missbraucht worden sind, hat die LBB bereits garantiert, etwaige Verluste komplett zu erstatten.

Mitarbeit: Jan Hauser, mit dpa

Diesen Artikel...

© SPIEGEL ONLINE 2008
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: